En Attack gouf op Benotzer vum NPM Verzeichnis opgeholl, als Resultat vun deem den 20. Februar méi wéi 15 Tausend Packagen am NPM Repository gepost goufen, déi README Dateien enthalen Linken op Phishing Siten oder Referral Links fir Klick op déi Royalties bezuelt ginn. Wärend der Analyse goufen 190 eenzegaarteg Phishing- oder Reklammlinks an de Packagen identifizéiert, déi 31 Domainen ofdecken.
D'Nimm vun de Packagen goufen gewielt fir den Interessi vun normale Leit unzezéien, zum Beispill "gratis-tiktok-Follower", "gratis-Xbox-Coden", "Instagram-Follower-gratis", etc. D'Berechnung gouf gemaach fir d'Lëscht vun de rezenten Updates op der NPM Haaptsäit mat Spam Packagen ze fëllen. D'Beschreiwunge vun de Packagen enthalen Linken déi gratis Kaddoen, Kaddoen, Spillcheats versprach hunn, souwéi gratis Servicer fir d'Erhéijung vun Unhänger a Likes op sozialen Netzwierker wéi TikTok an Instagram. Dëst ass net déi éischt esou Attack; am Dezember gouf d'Publikatioun vun 144 Tausend Spam Packagen an den NuGet, NPM a PyPi Verzeichnisser opgeholl.
D'Inhalter vun de Packagen goufen automatesch mat engem Python-Skript generéiert, deen anscheinend onbewosst an de Packagen hannerlooss gouf an d'Aarbechtsunitéiten enthalen, déi an der Attack benotzt goufen. D'Package goufen ënner ville verschiddene Konten publizéiert mat Methoden déi et schwéier gemaach hunn den Trail z'entdecken a séier problematesch Packagen z'identifizéieren.
Zousätzlech zu betrügereschen Aktivitéiten, goufen e puer Versuche fir béiswëlleg Packagen ze verëffentlechen och an den NPM a PyPi Repositories festgestallt:
- 451 béiswëlleg Pakete goufen am PyPI Repository fonnt, déi sech als e puer populär Bibliothéiken verkleeden mat Typequatting (zum Beispill, vper amplaz vu vyper, bitcoinnlib amplaz bitcoinlib, ccryptofeed amplaz cryptofeed, ccxtt amplaz vun ccxt, cryptocommpare amplaz cryptocompare, Seleium amplaz Selen, pinstaller amplaz pyinstaller, etc.). D'Packagen enthalen obfuscéiert Code fir d'Krypto-Währung ze klauen, deen d'Präsenz vu Krypto-Portemonnaie Identifizéierer am Clipboard entdeckt huet an se an de Portemonnaie vum Ugräifer geännert huet (et gëtt ugeholl datt beim Bezuelen d'Affer net bemierkt datt d'Portemonnaienummer duerch de Clipboard transferéiert gëtt. ass anescht). D'Auswiesselung gouf vun engem Browser-Add-on duerchgefouert, deen am Kontext vun all gekuckte Websäit ausgefouert gouf.
- Eng Serie vu béiswëlleg HTTP-Bibliothéike goufen am PyPI-Repository identifizéiert. Béiswëlleg Aktivitéit gouf an 41 Packagen fonnt, d'Nimm vun deenen ausgewielt goufen mat Typequatting Methoden a gläiche populäre Bibliothéike (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, etc.). D'Füllung gouf styléiert fir ähnlech HTTP-Bibliothéiken ze ähnelen oder de Code vun existente Bibliothéike kopéiert, an d'Beschreiwung enthält Fuerderungen iwwer d'Virdeeler a Vergläicher mat legitimen HTTP-Bibliothéiken. Béiswëlleg Aktivitéit bestoung aus entweder Malware op de System erofzelueden oder sensibel Donnéeën ze sammelen an ze schécken.
- NPM identifizéiert 16 JavaScript Packagen (speedte *, trova *, lagra), déi, Nieft der uginn Funktionalitéit (Duerchschnëtt Testen), enthält och Code fir Biergbau cryptocurrency ouni de Benotzer d'Wëssen.
- NPM identifizéiert 691 béiswëlleg Packagen. Déi meescht vun de problematesch Packagen hu sech als Yandex Projete gemaach (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, etc.) Et gëtt ugeholl datt déi, déi d'Packagen gepost hunn, probéiert d'Substitutioun vun hirer eegener Ofhängegkeet z'erreechen wann se Projeten am Yandex montéieren (Methode fir intern Ofhängegkeeten z'ersetzen). Am PyPI Repository hunn déiselwecht Fuerscher 49 Packagen fonnt (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, etc.)
Source: opennet.ru